De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft bedrijven een dringende waarschuwing gegeven over de beveiliging van hun apparaatbeheersystemen. Dit volgt op een grote cyberaanval op Stryker, fabrikant van medische apparatuur, waarbij pro-Iraanse hackers op afstand gegevens van duizenden door het bedrijf beheerde apparaten hebben gewist.
De aanval op Stryker: een casestudy over eindpuntrisico
Op 11 maart bevestigde Stryker een cyberaanval die een “wereldwijde verstoring” van zijn activiteiten veroorzaakte. In tegenstelling tot typische ransomware-aanvallen hebben de hackers geen malware ingezet. In plaats daarvan maakten ze misbruik van de toegang tot het Microsoft Intune-systeem van Stryker – dat wordt gebruikt om de apparaten van werknemers te beheren – om op afstand gegevens op tienduizenden telefoons, tablets en computers te verwijderen. Dit omvatte zowel bedrijfseigen als persoonlijke apparaten die op het netwerk waren aangesloten.
Waarom dit belangrijk is: Dit incident benadrukt een kritieke kwetsbaarheid in het aantal bedrijven dat de toegang tot apparaten beheert. Eindpuntbeheersystemen zoals Intune geven beheerders krachtige controle, maar als ze worden gecompromitteerd, kunnen ze worden ingezet om ernstige verstoringen te veroorzaken.
Aanbevelingen van CISA: versterking van de eindpuntbeveiliging
De richtlijnen van CISA zijn gericht op het versterken van administratieve controles binnen apparaatbeheerplatforms. Het bureau beveelt met name aan dat voor acties met een grote impact, zoals het op afstand wissen van apparaten, goedkeuring van een tweede beheerder vereist is. Deze benadering van ‘tweepersoonsintegriteit’ voegt een cruciale beschermingslaag toe tegen frauduleuze of gecompromitteerde accounts.
Belangrijkste inzichten voor beheerders:
– Beperk gevoelige acties tot workflows met meerdere goedkeuringen.
– Controleer regelmatig de gebruikersrechten.
– Bewaak Intune-dashboards op ongeautoriseerde activiteiten.
De hacktivistische groep achter de aanval
Een pro-Iraanse hacktivistische groepering die zichzelf Handala noemde, eiste de verantwoordelijkheid op en beweerde dat de aanval een vergelding was voor een Amerikaanse luchtaanval in Iran waarbij burgers omkwamen. De groep beweerde gegevens uit het netwerk van Stryker te hebben geëxfiltreerd, maar heeft nog geen bewijs geleverd.
Stryker heeft de aanval onder controle gebracht en werkt aan het herstel van systemen, maar de supply chain-, bestel- en verzendactiviteiten blijven offline. Het bedrijf heeft geen hersteltijdlijn verstrekt.
Conclusie
De Stryker-aanval onderstreept de groeiende dreiging van eindpuntmanipulatie. Bedrijven moeten prioriteit geven aan het beveiligen van apparaatbeheersystemen met robuuste administratieve controles om soortgelijke incidenten te voorkomen. Het negeren van dit risico maakt organisaties kwetsbaar voor verlammende verstoringen die van invloed kunnen zijn op kritieke bedrijfsactiviteiten.
